移动应用数据收集比恶意软件威胁更大

互联网 | 编辑: 周黎俊 2014-08-28 05:00:00转载

在近几年,功能日益强大的智能手机和其他移动设备开始进入企业环境,安全专家经常担心移动恶意软件也会随之增加,正如十多年前在电脑领域所看到的那样。但根据最新的报告显示,这种担忧在很大程度上不切实际,因为移动应用的数据收集对企业和用户构成更大的威胁。

应用分析供应商Appthority在本月发布的关于移动应用信誉的报告中,详细介绍了Android和iOS移动平台中目前前100名免费应用和前100名付费应用的数据收集情况。Appthority公司通过在测试环境中对所有400个应用运行静态、动态和行为应用分析来收集了报告中的这些数据。

在Google Play应用商店的前100位免费Android应用中,80%会收集唯一设备标识符(UDID)或者IMEI,而82%的应用会进行某种形式的定位跟踪,另外30%访问用户的地址簿。虽然苹果经常吹捧iOS是比Android更安全的注重隐私的平台,但Appthority的统计数据并没有显示出这一点。在App Store的前100位免费应用中,超过一半的应用涉及相同的UDID和位置跟踪,26%还访问用户的地址簿。

该公司发现,即使是付费应用,数据收集也很普遍。例如,在前100位付费Android应用中,65%使用UDID信息,49%收集位置数据,还有14%访问地址簿。而在iOS方面,28%使用UDIF,24%收集位置数据,8%访问地址簿。

相比较而言,在分析的400款应用中,Appthority并没有找到一个移动恶意软件的实例。该公司指出,只有4%的应用包含恶意软件,因为评估会对进入iOS App Store的所有应用执行严格的手动安全审查过程,而谷歌也使用各种技术来扫描Google Play应用中的恶意软件。

“大家都知道移动恶意软件,”Appthority总裁Domingo Guerra在接受采访时表示,“但不是每个人都知道这些其他问题。”

数据收集的风险

Guerra表示,移动应用的数据收集会给企业和用户带来很多风险,这些风险可能最初不是很明显。例如,如果用户同步其企业Outlook账户到个人智能手机,该设备可能可以访问企业地址簿,其中包含很多重要客户的联系方式。如果收集这种地址簿信息的应用受到攻击,攻击者就可以利用这些信息来发送垃圾邮件到这些联系人,收集敏感企业来点的拨入详细信息,读取日历中的附件等。

除政府之外,大多数企业并没有非常担心位置追踪数据,但如果攻击者可以获取关键管理人员的位置,他们可能会利用这些信息,根据到有关企业的访问来预测合并或收购消息。Guerra还提到了一个著名事件,美国士兵在Twitter上分享了自己到达伊拉克基地的照片,该照片通过地理标记包含地理位置的详细信息,这导致叛乱分子对美军基地发动炮弹攻击,摧毁了基地的直升机。

虽然移动应用的这些行为值得我们关注,但Guerra表示,另外一个同样大的风险来自于这些所收集的数据的最终目的地:广告网络。该报告发现,在免费的应用中,73%的Android应用和32%的iOS应用允许广告网络收集数据。即使是在付费应用中,仍然有38%的Android应用和16%的iOS应用传送数据到广告网络,在这种情况下,用户甚至可能不会意识到这种数据收集做法,这种做法属于开发者的网站上张贴的隐私政策之外。

移动广告网络的盛行带来很多风险,攻击者自己可以伪装成广告网络,直接搜集用户数据,破坏广告网络的软件开发工具包和渗透应用,或者干脆瞄准世界各地十几个广告网络存储的巨大的数据收集库。

“因此,从开发人员的角度来看,我们承载的数据越多,我们约有可能成为攻击目标,这正是广告网络的情况,”Guerra表示,“现在,大多数应用都有多个广告网络,这让情况变得更加严重,即使是开发人员本人可能都不知道所有这些数据去向哪里。从攻击者的角度来看,他们甚至不需要寻找最流行的广告网络,而是找到最薄弱的广告网络,就可以获取大量数据。”

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑